云计算安全防护

随着业务的快速发展，数据中心空间、能耗、运维管理压力日趋凸显，应用系统的部署除了购买服务器费用外，还包括数据中心空间的费用、空调电力的费用、监控的费用、人工管理 的费用，相当昂贵。如果这些服务器的利用率不高，对企业来说，无疑是一种巨大的浪费。

在企业中，虚拟化使其用户能够获得在效率、成本方面的显著收益以及在综合数据中心更具环保、增加可扩展性和改善资源实施时间方面的利益，但同时，数据中心的虚拟系统面临许多与物理服务器相同的安全挑战，从而增加了风险暴露，再加上在保护这些IT资源方面存在大量特殊挑战，最终将抵消虚拟化的优势。从2000年至今，互联网的发展日新月异，新的应用层出不穷，从Web1.0到 Web3.0（Web3.0只是由业内人员制造出来的概念词语，最常见的解释是，网站内的信息可以直接和其他网站相关信息进行交互，能通过第三方信息平台同时对多家网站的信息进行整合使用；用户在互联网上拥有自己的数据，并能在不同网站上使用；完全基于web，用浏览器即可实现复杂系统程序才能实现的系统功能；用户数据审计后，同步于网络数据），从2G网络升级到4G网络。互联网接入从笨重的台式机，到轻巧的笔记本电脑，到现在的上网本和手机终端。随着互联网的发展，人们的工作和生活已经发生了翻天覆地的变化，与此同时，信息技术的发展也带来了安全威胁的发展，安全威胁的攻击，从单纯的攻击单台电脑，到攻击局域网、攻击公司网络，到现在整个互联网充斥着各种攻击威胁。

在目前的网络安全大环境下，现有的防病毒安全系统已经无法承载日新月异的威胁攻击。为了确保企业的业务连续性，避免病毒对企业的数据，应用和网络带来威胁，必须对行业内用户的安全系统进行结构化的完善，尤其在虚拟化和云计算的安全防护上，在过去的几年中，大部分用户都存在一定的不足。

1.云计算环境下的安全威胁

云计算是目前非常热门的一个研究领域，其实它并不是一种全新的技术，而是许多技术的融合体，包括分布式计算、动态和拓展等各种各样的技术算法，而虚拟化是云计算里最重要的一个技术。

虚拟化技术是在软、硬件之间引入虚拟层，为应用提供独立的运行环境，屏蔽硬件平台的动态性、分布性、差异性等，支持硬件资源的共享与复用，并为每个用户提供相互独立、隔离的计算机环境，同时方便整个系统的软、硬件资源的高效、动态管理与维护。

虚拟化是目前云计算最为重要的技术支撑，需要整个虚拟化环境中的存储、计算及网络安全等资源的支持。在这个方面，基于服务器的虚拟化技术走在了前面，已开始广泛的部署应用，基于该虚拟化环境，系统的安全威胁和防护要求也产生了新的变化：

（1）传统风险依旧，防护对象扩大

一方面，一些安全风险并没有因为虚拟化的产生而规避。尽管单个物理服务器可以划分成多个虚拟机，但是针对每个虚拟机，其业务承载和服务提供和原有的单台服务器基本相同，因此，传统模型下的服务器所面临的问题虚拟机也同样会遇到，诸如对业务系统的访问安全、不同业务系统之间的安全隔离、服务器或虚拟机的操作系统和应用程序的漏洞攻击、业务系统的病毒防护等；另一方面，服务器虚拟化的出现，扩大了需要防护的对象范围，如IPS入侵防御系统就需要考虑以Hypervisor和vCenter为代表的特殊虚拟化软件，由于其本身所处的特殊位置和在整个系统中的重要性，任何安全漏洞被利用，都将可能导致整个虚拟化环境的全部服务器的配置混乱或业务中断。

（2）VM之间产生新安全访问风险

和传统的安全防护不同，虚拟机环境下同一个服务器上不同的VM可能属于同一个物理VLAN内，如果相邻VM之间的流量交换不通过外部交换机，而是基于服务器内部的虚拟交换网络解决，此时在不可控的情况下，网络管理员将面临两个新的安全问题，例如：如何判断VM之间的二层流量交换是规则允许范围内的合法访问还是非法访问?更进一步，即使不同VM之间的流量允许交换，如何判断这些流量是否存在诸如针对应用层安全漏洞的网络攻击行为?

2.云计算环境下的安全防护方向

在利用现有的经验模型解决好当前存在的普遍性安全威胁后，现阶段虚拟化环境下的安全防护还需要重点考虑VM之间的流量安全。分析流量的转发路径，我们可以将用户流量划分成纵向流量和横向流量两个维度，并基于每个维度的安全需求提供有针对性的解决方案。

（1）纵向流量的安全防护

这部分纵向流量包括从客户端到服务器侧的正常流量访问请求，以及不同VM之间的三层转发的流量。这些流量的共同特点是其交换必然经过外置的硬件安全防护层，我们也称之为纵向流量控制层。

一方面，这些流量的防护方式，和传统的数据中心的安全防护相比没有本质区别，用户可以直接借鉴原有经验进行，例如防护的设备类型仍然是以防火墙和入侵防御系统等产品为主，在部署的方式上要求防火墙或入侵防御设备具备INLINE阻断安全攻击的能力，部署的位置可以旁挂在汇聚层或者是串接在核心层和汇聚层之间，同时对于设备的性能可扩展和稳定性等常规指标也完全适用。

另一方面，在虚拟化环境下的云安全部署，因为可能存在多租户的服务模型，因此，对于设备的虚拟化实现程度又有了更高的要求，除了常规的虚拟化实例进行转发隔离和安全策略独立配置外，还要求实现对于不同租户的独立的资源管理配置和策略管理.每个虚拟实例的管理员可以随时监控、调整本租户的策略的配置实现情况等。这些新的技术要求，对于虚拟化环境下的纵向流量防护有着重要的影响。

（2）横向流量安全防护

VM之间的横向流量安全是在虚拟化环境下产生的特有问题，在这种情况下，同一个服务器的不同VM之间的流量将直接在服务器内部实现交换，导致外层网络安全管理员无法对这些流量进行监控或者实施各种高级安全策略如防火墙规则或者入侵防御规则。

在服务器的虚拟化过程中，以VMware为代表的虚拟化厂商，通过在服务器Hypervisor层集成vSwitch虚拟交换机特性，也可以实现一些基本的访问允许或拒绝规则，但是并没有也很难集成更高级的安全检测防护引擎，以实现VM之间的流量漏洞攻击的行为检测。要做到更深度的安全检测，目前主要有两种技术方式：基于虚拟机的安全服务模型，以及利用EVB（Edge Virtual Bridging边缘虚拟桥）技术实现流量重定向的安全检测模型。

3.云计算环境下安全防护的方法

（1）基于虚拟机的安全防护

在虚拟化技术推进的过程中，一些厂商很敏锐地观察到了VM之间直接交换流量无法通过外部防火墙等设备进行检测，因此想通过直接在服务器内部部署虚拟机安全软件，通过对VMware开放的API接口的利用，将所有VM之间的流量交换在进入到vSwitch之前，先引入到虚拟机安全软件进行检查。此时可以根据需求将不同的VM划分到不同的安全域，并配置各种安全域间隔离和互访的策略。同时，一些技术能力强的软件厂商，还考虑在软件中集成IPS深度报文检测技术，判断VM之间的流量交换是否存在漏洞攻击。这种方式的优点是部署比较简单，只需要在服务器上开辟资源并运行虚拟机软件运行即可。

（2）基于重定向技术的防护模型

既然VM之间的流量交换一直在服务器内部，不利于安全策略的部署，也不利于管理界限的明晰，因此正在进行标准化EVB技术，计划通过VEPA（Virtual Ethernet Port Aggregator，虚拟以太端口汇聚器，简称VEPA，是由HP、IBM、Dell、Juniper和Brocade等公司发起的，统一管理和监控各种虚拟机的桥接标准）等技术实现将这些流量引入到外部的交换机。在接入交换机转发这些流量之前，可以通过镜像或者重定向等技术，将流量先引入到专业的安全设备进行深度报文检查、安全策略配置或是允许/拒绝其访问。

这种实现方式的优点在于外置硬件安全设备的高性能，在不损失服务器能力的情况下，可以使用数目较少的高端安全设备来实现万兆甚至十万兆的安全检测能力，管理员也可以充分利用先前的经验，很容易实现对这些外置安全设备的管理维护，同时因为该标准的相对开放性，相关的网络安全厂商都可以参与到这个方案当中来，减少了客户对于单一网络安全厂商的依赖。

对于该方式下安全策略跟随VM迁移的问题，在网络管理组件及时感知到VM虚拟机迁移时，通过内部的消息传送，安全管理组件可以及时获取到此次迁移的相关参数如新的接入交换机ID及端口VLAN等属性；此时再比对自身保存的拓扑关系图定位到新的虚拟机迁移位置所对应的安全产品ID，从而实现虚拟机的安全策略profile的迁移，这也是一种简单易行的解决方案。

综上所述，现阶段基于虚拟机的安全软件部署方式，在小型的虚拟化环境中，更容易得到较好的用户体验，但是在大规模高性能的应用环境中，基于高性能的专业硬件设备来搭建安全防护层，更容易满足对性能的要求，在总的投资上也更有优势。未来一段时间内，这两种方式将作为主要的技术方式而存在，用户可以根据自身的实际应用环境进行选择。